как отменить регистрацию источника журнала событий?

Я зарегистрировал журнал и добавил источник через реестр.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Log>\<Source>)

При регистрации система создает evt-файл для событий и настраивает все параметры журнала.

Однако я не знаю, как я могу отменить регистрацию определенного источника или всего журнала. Я могу, конечно, удалить ключи в реестре, и он исчезнет из средства просмотра системных событий, однако файл *.evt все еще заблокирован svchost, и я хотел бы также удалить этот файл.

Как бы я полностью остановил такой журнал?


logging events event-log delphi winapi
person John    schedule 13.07.2011    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Из MSDN:
DeregisterEventSource Закрывает дескриптор записи в указанный журнал событий.
ClearEventLog Очищает указанный журнал событий и при необходимости сохраняет текущую копию журнала в файл резервной копии.

Дополнительные сведения см. в этой статье MSDN

person James Barrass    schedule 13.07.2011

arrow_upward
3
arrow_downward

Я считаю, что процедура следующая:

  1. установить: создайте свой раздел реестра
  2. открыто: RegisterEventSource
  3. сообщать о событиях...
  4. близко: DeregisterEventSource
  5. удалить: удалить раздел реестра

Я хочу сказать, что после успешного вызова DeregisterEventSource файл .evt должен быть удален системой или, по крайней мере, выпущен, чтобы вы могли удалить его самостоятельно.

person Ondrej Kelle    schedule 13.07.2011